ISAServer是微软在企业网络边界防护上的代表产品。从ISAServer2000到现在被广泛应用的ISAServer2004和ISAServer2006以及即将推出的ISAServer2008,都标志着ISAServer在企业边界安全防护上的技术积累和不断成熟。
  本文将通过详细介绍如何部署一个企业级的基于微软发布的ISAServer2006Hands-OnLabs的多虚拟机实验环境,并通过该实验环境详细描述企业×××的配置过程,希望能够给想要应用微软ISAServer的安全架构师和安全实施人员在产品选择、实验环境搭建以及实际应用上以详细的指导。

  一、ISAServer产品概述

  微软已形成了较为完善的ISAServer产品家族以及相应的技术支持,而且以非常开放的姿态提供了ISAServer2004和ISAServer2006的评估版本软件的下载,并在微软官方技术支持网站TechNet上提供了从ISAServer起步、计划和架构、开发、部署、运营、安全和防护以及技术参考七大方面的技术支持。通过详尽的技术文档和与评估版产品配套的操作手册,给希望了解和应用ISAServer以进行企业网络边界安全防护的技术人员以可操作的指导。
  本文将简单介绍ISAServer产品家族中的ISAServer2004和ISAServer2006在企业网络边界防护上的主要功能,企业安全架构师和安全实施人员可以根据企业在网络边界防护上的具体需求和产品的功能进行有针对性的选择:
  1、ISAServer2004
  ISAServer2004是一款集高级应用层防火墙、虚拟专用网络(×××)和网络缓存于一体的解决方案,它能够通过提高网络安全和性能来最大化IT投资收益,ISAServer2004具有以下功能或改进:
  1)、高级防护
  a、应用层过滤
  增强的对HTTP协议和FTP协议以及FPC(RemoteProcessCall)连接的过滤与控制;
  b、安全性和防火墙
  在此功能上ISAServer2004提供了扩展的协议支持、增强的用户认证、增强的对用户和用户组的支持、增强的FTP支持、增强的网络发布等功能。
  2)、简单使用
  a、多网络环境
  提供了多网络环境配置、制定网络策略、路由和NAT网络关系以及网络模板、网络负载平衡(仅针对企业版)等新功能;
  b、监控和报告
  提供了实时日志监控、构建的日志查询、实时监控和防火墙会话过滤、连接重定向、报告发布、邮件提醒、定制日志时间以及写入日志到MSDE数据库等新功能,增强了定制报告和SQLServer日志功能;
  c、安全管理
  提供了导入导出、定制授权向导、集中存储防火墙策略(只针对企业版)、自动化阵列配置(只针对企业版)等新功能,以及增强的管理、集中式日志、针对MicrosoftOperationsManager的管理包。
  3)、快速安全连接
  a、对基于微软服务器的快速安全的远程访问
  提供了基于表单授权的防火墙表单生成、使用SSL到终端服务的远程连接两大新功能;
  b、虚拟专用网络(×××)
  提供了全状态的×××过滤和视察、安全的NAT到ISAServer2004×××连接支持、全状态的基于站到站×××通道交流过滤和监控、×××治理、×××服务器发布、IPSec模式下的站到站×××链接支持等新功能,以及增强的×××管理。
  c、Web缓存和Web代理
  提供了对网络代理客户端授权的RADIUS支持、基本授权策略、Web发布规则中的源IP保存、实现CARP的Web缓存阵列(只针对企业版)等新功能,以及增强的缓存规则、Web发布规则路径匹配功能。
  2、ISAServer2006
  与ISAServer2004类似,ISAServer2006也提供了企业版和标准版两个版本,在ISAServer2004提供的功能的基础上,ISAServer2006提供了以下新增或增强的功能:
  1)、对内部基于微软服务器的安全远程访问
  提供了SharePoint服务器发布向导和对Exchange2007集成的支持两大新功能,以及增强的OutlookWeb访问发布向导;
  2)、虚拟专用网络(×××)
  提供了分支办公室×××连接向导新功能;
  3)、安全管理
  增强的简单使用向导、认证管理、基于硬件的ISAServer连接、企业范围内的策略拷贝等功能;
  4)、高级防火墙防护
  提供了峰值弹性、攻击救助等新功能,以及增强的防火墙规则向导;
  5)、授权认证
  提供了单点登录功能(SSO)、LDAP授权支持等新功能,以及增强的授权认证、基于表单的授权认证、会话管理等功能;
  6)、服务器发布
  提供了跨阵列链接传输新功能和增强的链接传输功能;
  7)、性能
  提供了BITS缓存、Web发布负载平衡、HTTP压缩、Diffserv(QoS)等新功能

  二、ISAServer2006Hands-OnLabs部署

  在一个应用软件(尤其是安全相关应用软件)引入到企业整体IT架构之前,安全架构师和安全实施人员必须要充分考虑所有可能潜在的风险以及应对方案,并在实际部署之前进行严格的测试和实验,并对相关的操作人员进行全面的技术培训,以期把潜在的威胁和风险降到最低。
  直接把软件部署到生产环境无疑要面对很大的风险,而且本文读者的操作系统环境可能存在着较大的差异,而ISAServer与其对应的组件只能安装在Server版的操作系统上,因此本文采用虚拟机作为实验环境的搭建方式。
  1、ISAServer2006Hands-OnLabs简介
  微软提供了一整套的包括ISAServer2006企业版和标准版以及Exchange、SharePoint的虚拟机在内的虚拟机套件,用以简单搭建企业级的ISAServer实验环境。
  1)、包含软件具体版本
  在ISAServer2006Hands-On实验环境中,包含以下具体版本的软件:
a、ISAServer2006StandardEdition(RTM)
b、ISAServer2006EnterpriseEdition(RTM)
c、SharePointServices2.0
d、ExchangeServer2003SP2
e、Outlook2003
  2)、提供的实验环境
  按照测试环境进行划分,该套件包括以下三个测试环境:
a、出界访问和分支办公室测试环境(OutboundAccessandBranchOffice);
b、发布和×××连接测试环境(Publishingand×××connections);
c、企业版测试环境三个实验环境(EnterpriseEditionFeatures)。
  3)、包含的具体模块
  按照模块进行划分,该实验环境包括以下九个模块:
模块A:ISAServer简介;
模块B:配置出界Internet访问;
模块C:发布Web服务器和其它服务器;
模块D:发布Exchange服务器;
模块E:启用×××连接;
模块F:采用ISAServer2006作为分支办公室网管;
模块G:ISAServer的企业级管理;
模块H:配置负载平衡;
模块I:使用监控、警报和日志。
  本文采用的是发布和×××连接测试环境,将介绍虚拟×××相关的配置,需要运行的三个虚拟机的命名分别为:Denver、Paris和Istanbul,如图一所示实验环境网络拓扑图。
  该图中的主要组件与虚拟机套件中虚拟机的关系为:
Denver:
Exchange Server 2003 SP2;
Publishing Exchange 2007 OWA;
Web Server:
SharePoint Portal site;
两个模拟Web Farm的Web Servers。
Terminal Server:
运行终端服务。
Paris:
ISA Server 2006 Standard Edition。
Istanbul:
Outlook 2003;
×××客户端。
以下是实现该虚拟实验环境的具体过程:
  2、下载文件
  在启动虚拟机之前,必须下载安装了虚拟机应用软件:Virtual PC,笔者采用的版本为:Virtual PC 2007,读者可以通过以下链接获得:下载链接。
  所有的虚拟机及相关的安装脚本,可以通过以下下载链接获得:下载链接。笔者建议读者下载套件中的全部五个文件:
Install-ISA2006-Lab.vbe;
ISA 2006 Lab Manual.doc;
ISA2006-lab-VMs.1.exe;
ISA2006-lab-VMs.2.rar;
Readme-ISA2006-Lab.txt。
  3、安装虚拟机
  下载完所有的文件以后,安装过程非常简单,运行脚本:Install-ISA2006-Lab.vbe,在所有的弹出窗口中点OK,它将完成以下操作:
1)、解压所有的虚拟机到安装目录(默认为C:\ISA2006lab);
2)、注册虚拟机到Virtual PC(或者Virtual Server);
3)、对于Virtual PC,配置附加的选项到options.xml;
4)、在桌面上创建链接到安装目录的快捷方式;
5)、在Host机上把ISA Server图片设置为墙纸(可选项)。
  在桌面上双击链接到安装目录的快捷方式,即可以看到所有的虚拟机文件和运行脚本,本实验中,我们只需要运行Start All SE-3x.vbs即可,该脚本将逐次启动所有和Standard Edition相关的虚拟机。
  通过以上简单的介绍和操作,即可体验ISA Server 2006的强大功能了。
 同时运行多个虚拟机对系统硬件的要求比较高,笔者建议在进行实验时,选择配置和性能较高的硬件设备,以达到最佳的效果。

  三、ISA Server 虚拟×××配置

  ×××对于拥有分支办公室和大量在外办公人员的企业而言是必不可少的,而×××客户端到服务器端的安全连接则成为重中之重,要实现保护企业资源不受外界侵害,同时保证在外的工作人员能够使用内部资源,灵活配置×××具有更为现实的意义。本文将以×××的配置和维护为切入点,在读者完成实验环境的搭建以后,带领读者体验ISA Server 2006的×××概念和分支办公室×××连接的强大支持。如图2所示,ISA Server 2006 ×××面板包含的内容:
  1、ISA Server 2006中的×××概念
  ISA Server 2006主要支持以下两种×××连接:
  1)、远程访问×××连接(主要为来自×××客户端的连接);
  2)、站到站的×××连接(主要为分支机构网络和总部之间的连接)。
所有的到ISA Server阵列的×××连接将会写入到防火墙日志当中,因此用户可以监控×××的连接。
  2、远程访问×××连接
  远程客户端可以通过创建一个到×××服务器的连接来连接到一个专用网络。ISA Server提供了到整个×××服务器所在网络的连接访问支持。通过在图2中,对应有××× Clients和Remote Sites两个选项,在××× Clients选项下,有以下五个功能性选项:
  1)、配置地址分配方法和启用×××客户端访问;
  2)、指定Windows用户或选择一个RADIUS服务器;
  3)、确认×××属性和远程访问配置;
  4)、浏览×××针对客户端网络的防火墙策略;
  5)、浏览网络规则。
  下面将详细介绍每个功能性选项的详细配置方法:
  1)、配置地址分配方法和启用×××客户端访问
  必须在完成地址分配方法的配置以后,才可以启用×××客户端访问支持。点开配置地址分配方法,在弹出的窗口中将会有以下四个选项:
  a、访问网络:选择可以访问的网络;
  b、地址分配:指定可访问的IP地址范围;
  c、授权认证:指定授权认证方法;
  d、RADIUS:选择是否采用RADIUS作为授权认证和日志的方法。
  在实验环境中,读者可以根据启动的三个虚拟机的IP地址和网络配置,指定相应的范围,或者用户也可以根据实际的网络环境,首先配置虚拟机的网络设置以模拟真实的网络环境,然后再根据实际的需求进行设定。
  完成地址分配方法的配置以后,点开×××客户端访问,在弹出的窗口中将有以下四个选项:
  一般:选择是否启用×××客户端访问以及最大连接数;
组:指定可以使用的连接组;
协议:指定连接可以使用的协议;
用户匹配:选择是否启用用户匹配功能。
  2)、指定Windows用户或选择一个RADIUS服务器
  与启用×××客户端功能项类似,也有四个相同的选项,选择一个RADIUS服务器选项则是地址分配方法的子选项,读者可以保留最初的选择。
  3)、确认×××属性和远程访问配置
  该选项是对步骤1)(配置地址分配方法和启用×××客户端访问)中配置的内容进行复审和确认,所有可选的内容都一样。
  4)、浏览×××针对客户端网络的防火墙策略
  点开此功能项,显示的默认的或当前应用中的属性,双击,在弹出的窗口中有以下多个选项:
一般:规则名称和描述;
动作:当满足条件的情况出现时采取的动作;
协议:要监听的所有的协议;
访问源:指定要监控的来源网络(默认为所有网络);
访问目的地:指定要监控的访问目的地网络(默认为所有网络);
用户:指定监控的用户(默认为全部用户);
日程表:制定监控日程表;
内容类型:指定要监控的内容类型。
  5)、浏览网络规则
  点开此功能项,在浏览网络规则中,有按顺序排列的五个网络规则,如图3所示:
  双击到内部网络的×××客户端(××× Clients to Internal Network),则出现图3中最下端的小窗口,有以下四个选项:
一般:规则的名称和描述;
源网络:指定源网络;
目标网络:指定目标网络;
网络关系:选择网络之间的关系(网络地址解析NAT或路由Route)。
  以上是在×××客户端远程连接的情况下,ISA Server所需要进行的配置项,可能由于实验环境部分功能项受限而无法修改,读者可以在允许的范围内体验其功能。
  3、站到站的×××连接
  ISA Server 2006提供了强大的站到站的×××连接,以实现对分支办公室×××连接的支持,在配置站到站的×××连接过程中,涉及到的选择项目很多,本文将简单介绍创建一个站到站的×××连接的过程,介绍一些必备的选项。
  更多更具技巧性的配置请读者在具体的实验中来发掘。以下是创建站到站×××连接的详细过程:
  1)、点开“远程站点”选项,选中“创建×××站到站连接(create ××× Site-to-Site Connection)”;
  2)、在弹出的窗口中键入站到站网络名称,点“下一步”;
  3、在新窗口中选择要使用的×××协议,有IPSec、L2TP(Layer Two Tunneling Protocol)和PPTP(Point-to-Point Tunneling Protocol)三个选项,选中ITSec,点“下一步”;
  4)、配置连接设置:指定远程×××网关IP地址和本地×××网关IP地址,配置完毕后,点“下一步”;
  5)、IPSec授权认证:指定IP安全协议的授权认证方法,如果没有指定的认证授权(Certificate Authority, CA),在可在预分享的Key一栏随便输入一个名字(如:test),点“下一步”;
  6)、网络地址:指定远程站点的IP地址范围,可以做添加、修改、删除三个操作,如果没有修改,直接点“下一步”;如果只填写了远程站点网关的IP地址而没有机器IP的话,在进入“下一步”之前会有警告提示,笔者建议添加一台制定的机器的IP(如实验环境中名为Denver的虚拟机的IP);
  7)、站到站网络规则:可以选择是否立即创建或稍后创建站到站的网络规则,选择“创建一个指定路由关系的网络规则”,然后点“添加”,进入网络实体的选择界面,在弹出的窗口中选中想要添加的网络实体,双击或者点“添加”都会在“站到站网络规则”窗口中显示出添加后的网络实体的名称,添加完毕点“下一步”则进入8的操作。选择“稍后创建站到站网络规则”,并点击“下一步”则进入8的操作,
  8)、站到站网络访问规则:可以选择是否立即创建或稍后创建站到站的网络访问规则,选择“创建一个访问规则”,然后点“添加”,进入网络协议选择界面,在弹出的窗口中选择要添加的网络协议,双击或者点“添加”都会在“站到站网络访问规则”窗口中显示出添加后的网络协议的名称,添加完毕点“下一步”则进入9的操作;选择“稍后创建站到站的网络访问规则”,然后点击“下一步”则进入9的操作;
  9)、完成站到站×××连接向导:点“完成”退出配置;
  10)、在“远程站点”中点“应用”,保存创建的站到站×××连接的相关配置。
  在完成创建以后,可以通过双击打开该项规则,然后浏览或修改相应的属性。